Limitare i tentativi di accesso senza un plug-in?
Come proteggere la pagina di accesso di WordPress senza utilizzare un plug-in
English version: Limit login attempts without a plugin?
Puoi trovare molti commenti e consigli su Internet. Ma è reale?
Per impostazione predefinita, WordPress consente tentativi di accesso illimitati tramite il modulo di accesso, l'invio di cookie speciali, l'utilizzo di chiamate XML-RPC e chiamate API REST. Ciò consente di decifrare le password con relativa facilità tramite un attacco di forza bruta. Al giorno d'oggi hacker e bot cercano costantemente di accedere al tuo sito WordPress indovinando la tua password di amministratore e le password di altri utenti registrati sul sito. Quindi, se vuoi proteggere il tuo sito senza utilizzare plugin, hai bisogno di:
- Conoscere bene PHP .
- Conoscere abbastanza il filtro e l'azione di autenticazione (integrati in WordPress) per agganciarli. Raccomando di iniziare da hook come 'authenticate' e 'wp_login_failed'.
- Tieni traccia del modulo di accesso post, delle richieste di autorizzazione XML RPC e API REST e sì, non dimenticare i cookie di autorizzazione (sono validi?).
- Memorizza da qualche parte tutti i tentativi con tutti i tentativi di accesso e tutti gli indirizzi IP per calcolare quando e quale IP devi bloccare. Consiglio di utilizzare l'API transitoria. Sul serio. Questo è il modo più semplice. Ovviamente non puoi controllarlo, ma usarlo ti consente di fare qualcosa senza la conoscenza di SQL.
- Calcola il tempo tra i tentativi di accesso non riusciti per un determinato IP.
- Avere uno strumento o un codice PHP per reimpostare uno qualsiasi di quei contatori e bloccare l'IP del cliente. Cosa succede se qualche cliente legittimo viene bloccato per caso?
Sembra pazzo? Hai una seconda opzione. Puoi google e prendere alcuni frammenti di codice da qualche blog in Internet senza alcuna garanzia e supporto.
Conclusione: puoi trovare molti consigli su come limitare i tentativi di accesso senza plug-in su Internet. Ma tutti i consigli vengono dati da persone che non sanno nemmeno come funziona esattamente l'algoritmo di autenticazione di WordPress, compresi quei bravi ragazzi di StackOverflow. Ma, comunque, puoi farlo, se davvero non ti preoccupi della sicurezza del tuo sito perché non c'è alcuna opzione per farlo nel modo giusto senza le capacità di codifica PHP e la conoscenza del meccanismo di autenticazione di WordPress.